En PC & Nätverksteknikers tankar

SPAM och Exploit programmet Neosploit har uppdaterats igen.

Denna gång innehåller uppdateringen en ny packeterar, uppenbarligen avsedd att begränsa den olicensierade användningen av den utnyttjade verktygslådan. Neosploit packeten har alltid varit (jag törs säga det) innovativa. Förutom kodade variabler och det ser till att utnyttja paket som är olika varje gång.

Neosploit använder också sig själv som nyckeln till att avkoda själv. Detta innebär att klumpiga försök att ändra dekodern, i försök att avkoda det kommer att resultera i rotvälska, snarare än korrekt avkoda säkerhetsbrister. Utöver detta har den nya versionen en ny funktion, den lägger till en kontroll för att säkerställa att säkerhetsbrister som finns på den avsedda datorn. I huvudsak vad författarna Neosploit gjorde var att lägga till webbadressen till "exploits kits" i nyckeln, som används för att ytnyttja säkerhetsbrister.

Jag är inte säker på om avsikten med denna "URL-in-key" systemet var att försvåra offline-analys. Den nya versionen innehåller även ett par överraskningar. Den innehåller numera en "exploit" för Microsoft Works 7 "WkImgSrv.dll" ActiveX sårbarhet. I och för sig, detta talar om hur bra Neosploit kit upprätthålls. Den första offentliga säkerhetsbrist för detta problem var publicerad den andra maj, något som säger hur snabba de är på att utmyttja dem.

I alla fall, utnyttjanden av denna brist stoppas i alla fall av NIS 2008, NAV 2008 och N360 enligt Symantec, troligtvis även av andra antivirus/säkerhetspacket.

Internet Storm Center går nu ut med en varning om en ny mask som smittar webbsajter innehållandes SQL-databaser. Genom att utföra en enkel sökning på t.ex. Google kan du kontrollera om din sajt har drabbats.

Internet Storm Center arbetar med att spåra webbhot, och har nu hittat en ny mask som har siktat in sig på sajter med SQL-databaser. Ännu så länge har den endast infekterat ca 4 000 sajter, inte så allvarligt för att vara en web-attack, men detta är bara början.

Om du vill kontrollera om din sajt har smittats kan du göra en enkel sökning med Google. I sökrutan skriver du då "site:www.dindomän.se winzipices.cn". Får du då en eller flera träffar på denna sökning så bör du informera den som är ansvarig för sajten.

Källa: Computerworld

Ett helt parti usb-minnen från Teknikmagasinet smittade med skadlig kod som stjäl inloggningsuppgifter till onlinespel har sålts i Sverige. Företaget har nu tvingats granska närmare tusen misstänkta exemplar.

En Computer Sweden läsare, som driver ett litet företag, fick en obehaglig överraskning efter att har inhandlat tre usb-minnen på Teknikmagasinets butik på Sergelgatan i Stockholm. Tre stycken ZAP Slider USB 8GB-minnen hade köpts och alla låg i oöppnade förpackningar. – Vi prövade den direkt i en maskin med Vista och genast hittade vårt anti-virus program en trojan, berättar CS läsare. Usb-pluggen provades sedan i en dator med XP och visade samma sak. Alla tre usb-minnena testades och var infekterade. Kollegorna satte trojanen i karantän och undersökte innehållet i usb-stickan. De fann då att 60 meg var använt. Mindre än en timme efter själva inköpet ringde de till Teknikmagasinets butik. – Jag var tydlig med att jag ville ha ett svar med förklaring och det skrev jag även i ett mail till dem. Jag har inte hört ett ljud sedan dess och nu det har gått över en månad. Tragiskt, man blir förbannad, säger CS läsare. Christian Ekstrand på Teknikmagasinet är produktansvarig för usb-minnena i fråga. Enligt honom var det en mindre del av en sändning usb-pluggar som var smittade och att leverantören har kontaktats.

På en sändning av Teknikmagasinets usb-minne fanns det trojaner installerat.

– De förklarade att trojanen fanns i en av de datorer som i sista skedet kontrollerar usb-minnena innan leverans. Så fort kunden hörde av sig har vi kontrollerat, men en halv dags försäljning hann gå genom.

Christian Ekstrand är osäker på det exakta antalet smittade usb-pluggar och hur många kunder som har drabbats.

– Vi vet inte exakt hur många det rör sig om men max ett 50-tal usb-minnen, tror inte ens det är det. En eller två kunder har hört av sig, säger han.

Leverantören är Teknikmagasinets egentillverkning i Taiwan. Enligt Christian Ekstrand har detta aldrig skett tidigare under de 4-5 år som de samarbetat. Att CS-läsaren inte fått något svar säger han beror på att dennes begäran om förklaring inte nåt fram till honom. Han poängterar att Teknikmagasinet inte på något sätt har velat mörka händelsen för sina kunder.

– Vi har varnat alla butiker om detta men inte stoppat försäljningen eller gått ut till kunder. Det rör ju sig om en så liten mängd, en kartong, säger Christian Ekstrand.

Teknikmagasinet har nu själva kontrollerat runt 900 av usb-pluggarna och avinfekterat de smittade.

– Viruset i fråga är ganska harmlöst och kan till exempel stjäla inloggning till spel som World of Warcraft. Har man ett virusskydd så ska det inte vara ett större problem, säger Christian Ekstrand

För CS läsare hann trojanen aldrig infektera datorerna, tack vare antivirus-skyddet och kollegornas kunskap i området.

– Men hade det varit min mamma som fått det här hade det varit kört. Trojanen var av en relativt ofarlig sort men kan ju ändå ställa till jätteproblem. Någon typ av respons från återförsäljaren hade varit brukligt, säger CS läsare.

Detta är inte första gången detta händer med produkter från Taiwan. Även företag som Mozilla och Microsoft har levererat produkter som ovetandes har innehållt trojaner av denna typen.

När det gäller Mozilla var det ett översättningsmodul för Firefox 2, och för Microsoft var det en version av Office som var drabbade.

Dock är detta första gången en svensk leverantör drabbats, så vitt jag vet. Men det skadar aldrig att alltid scanna nya lagringsmedior efter virus innan man anväder dem.

Källa: Computer Sweden

En trojan som gömmer sig i låtar eller videoklipp, har redan laddats ner av över en halv million PC-datorer.

Antivirusföretaget Mcafee har utfärdat en varning för en ny trojan som just nu sprider sig som en löpeld över nätet. Enligt statistik från företaget har filen den senaste veckan laddats ner av över en halv million datorer med Mcafees programvara installerad, vilket gör det till den största attacken på 3 år.

Under det senaste dygnet har hela 27% av alla som använt Mcafees online-scanner varit infekterade.

Trojanen sprids mest genom fildelningsnätverk som Edonkey,Limewire och Torrents. Filen som laddats ned har många olika namn, vilket gör den svårare att upptäcka, och det kan röra om allt från nya mp3-filer av kända låtar till filmer.

När användaren klickar på filen uppmanas de att installera ett program för att kunna spela upp musiken eller filmen, men då infekterad datorn av en trojan. De drabbade plågas dessutom av mängder av popup-meddelanden med reklam.

Attacken riktar sig enbart till PC-användare och som vanligt gäller rekommendationen att hålla sitt antivirusprogram uppdaterat.

Källa: PC för alla

Ett stort antal av e-postmasken Warezov har postats under de första timmarna på Måndagen. Den laddar ner ytterligare komponenter från en webbsida vid namn ertinmdesachlion.com. Mer info finns på: http://www.f-secure.com/v-descs/warezov.shtml